DÚVIDA IMPORTANTE SOBRE AD

 Tópico anterior Próximo tópico Novo tópico

DÚVIDA IMPORTANTE SOBRE AD

VB.NET

 Compartilhe  Compartilhe  Compartilhe
#485276 - 08/11/2018 14:36:43

MARCOS

Cadast. em:Dezembro/2003


Boa tarde,Pessoal!
Tenho um sistema na empresa onde atuo, em que o usuário ao
acessar, tem de logar (Usuário e senha).Meu módulo de autenticação
tem inclusive, controle de perfil,etc...
A direção me solicitou que o sistema de autenticação seja "integrado"
ao AD (Active Directory). Ou seja, não se quer que o usuário entre no
sistema, usando a conta (Usuário e senha ) cadastrada no meu aplicativo.
Mas, sim com os dados da conta do Windows.
  Os colegas aqui no fórum até já me indicaram exemplos de código que
permitem ao .NET (Vb.NET), interagir com o AD.

A dúvida:

Eu não sei como isto é feito em outras empresas (Nunca integrei meus
sistemas com AD).Mas, isto não é um sério problema de segurança???
Pergunto isto, pois se eu disponibilizar uma tela    para o usuário digitar
sua senha (Do Windows)   para logar, "indiretamente" eu como desenvolvedor
teria acesso a conta destes usuários.Estou certo ???

Observação:

O computador, onde a aplicação roda é compartilhado por vários funcionários do setor. De modo
que tenho realmente exigir que o usuário de identifique para que meu Log, consiga posteriormente
rastrear as atividades do usuário no programa, se for necessário


Agradeço qualquer orientação.




Resposta escolhida #485279 - 08/11/2018 15:44:14

KERPLUNK
RIO GRANDE DO SUL
Cadast. em:Junho/2009


Membro da equipe
Quando se trata de integração com AD, o seu sistema deveria pegar as credenciais do usuário logado no windows. Cada usuário teria sua conta do windows no computador compartilhado, para usar o sistema, teria que sair entrar com sua conta, fazendo logout antes, se necessário(caso a máquina esteja logada com outra conta que não a sua).

_______________________________________________________________________
Gostaria de ter seu sistema Desktop "traduzido" para uma interface web? Podemos conversar...
Virei Oráculo!
The end is nigh, be ready for the nukes!


#485290 - 08/11/2018 17:46:18

MARCOS

Cadast. em:Dezembro/2003


Eu pensei nisto.
Mas , como o uso deste computador "compartilhado" no setor é muito frequente.
Fica complicado, dizer aos usuários para ficar logando novamente no Windows, toda vez que
precisar usar.



#485295 - 08/11/2018 20:12:33

KERPLUNK
RIO GRANDE DO SUL
Cadast. em:Junho/2009


Membro da equipe
Então você já tem uma falha de segurança inerente e não há muito o que fazer. Logar ou não no AD é irrelevante. O Active Directory é justamente para setar ambientes personalizados para cada usuário. Se você não pode usar isso não tem porque usar. Seria o mesmo que ter um sistema de segurança com 100 câmeras, mas só um monitor que mostra apenas o que uma câmera vê.

_______________________________________________________________________
Gostaria de ter seu sistema Desktop "traduzido" para uma interface web? Podemos conversar...
Virei Oráculo!
The end is nigh, be ready for the nukes!


#485309 - 09/11/2018 11:44:53

MARCOS

Cadast. em:Dezembro/2003


Concordo com você!
Vou tentar explicar para a chefia, que esta integração com o AD (Neste contexto ) não faz sentido.

Obrigado pela orientação.



#485310 - 09/11/2018 12:12:05

TEKO
SP
Cadast. em:Setembro/2012


Última edição em 09/11/2018 12:12:41 por TEKO

Já faz uns 10 anos que tive que fazer algo utilizando autenticação via AD em vb6, e infelizmente não tenho nada aqui pra lhe ajudar, dá uma olha neste link.
http://www.macoratti.net/08/03/aspn_acd1.htm


A persistência é o caminho do êxito.


#485312 - 09/11/2018 15:17:46

ALEVALE
JUNDIAI
Cadast. em:Março/2012


Eu tenho hoje algumas aplicações que eu autentico no AD, a única diferença é que posso estar logado no computador do Joazinho e usar o usuário e senha da Mariazinha.

Porque na tela de login eu solicito que seja informado o usuário e senha, além do mais, criamos grupos no AD para customizar a aplicação ou seja o usuário para entrar no sistema tem que pertencer a um grupo do AD e é claro validar usuário e a senha e ao ingressar na aplicação o "grupo" determina o que ele pode fazer ou não dentro do sistema.

Acredito ser mais fácil dessa forma, do que "chumbar" o usuário logado no momento no computador na tela de login.

---------------------------------------------------------------
"Já está provado por A+B que A+B num prova nada"
---------------------------------------------------------------

#485316 - 09/11/2018 17:04:23

KERPLUNK
RIO GRANDE DO SUL
Cadast. em:Junho/2009


Membro da equipe
Citação:
:
Eu tenho hoje algumas aplicações que eu autentico no AD, a única diferença é que posso estar logado no computador do Joazinho e usar o usuário e senha da Mariazinha.

Porque na tela de login eu solicito que seja informado o usuário e senha, além do mais, criamos grupos no AD para customizar a aplicação ou seja o usuário para entrar no sistema tem que pertencer a um grupo do AD e é claro validar usuário e a senha e ao ingressar na aplicação o "grupo" determina o que ele pode fazer ou não dentro do sistema.

Acredito ser mais fácil dessa forma, do que "chumbar" o usuário logado no momento no computador na tela de login.

O caso é que a pergunta dele é uma preocupação com segurança, já que senhas estarão trafegando de forma não protegida na rede. E sim, sabemos que é possível usar simplesmente a autenticação do AD como um repositório de usuários e seus papéis, mas o uso do AD é justamente no modo como descrevi, que o ideal é que se use o login no windows mesmo e suas aplicações usem essa identidade, mesmo sendo possível autenticar com outro usuário.

_______________________________________________________________________
Gostaria de ter seu sistema Desktop "traduzido" para uma interface web? Podemos conversar...
Virei Oráculo!
The end is nigh, be ready for the nukes!


#485320 - 10/11/2018 08:45:31

ALEVALE
JUNDIAI
Cadast. em:Março/2012


Então, mas pensando por esse conceito não vejo o porque outro método de autenticação, cliente->server seria muito diferente, ok podemos ter uma chave de criptografia para validar a senha e quando chegar no servidor descriptografar, entre outros métodos etc.

Mas se tratando do AD, nunca experimentei isso mas é possível trafegar as senhas criptografadas, usando até mesmo hashs para validação dessa forma você iria aumentar a segurança, ou ainda melhor se os computadores tivessem certificado digital pois mesmo que a senha fosse capturada iria dificultar mais o acesso.

E se não me engano é possível configurar o protocolos ldap com ssl.

Ou no pior dos mundos uma sugestão mais caseira, seria criar uma aplicação "server" rodando no domain controller e ao autenticar seria criado uma chave criptografada com a senha e esse "servidor" iria descriptografar e autenticar no AD, e simplesmente poderia retornar um booleano, "talvez" iria diminuir o risco.

---------------------------------------------------------------
"Já está provado por A+B que A+B num prova nada"
---------------------------------------------------------------

#485326 - 10/11/2018 15:31:49

MARCOS

Cadast. em:Dezembro/2003


AJEVALE,
A Questão não é esta. Minha preocupação, conforme expliquei ao Kerplunk,
é que ao criar uma tela no seu programa,para o usuário digitar a senha do Windows, o desenvolvedor
tem acesso a conta ( Da rede) de todos os usuários que usarem seu sistema.



#485327 - 10/11/2018 16:36:54

WEBMASTER
CURITIBA
Cadast. em:Janeiro/2001


Membro da equipe
Reforçando o contexto, o ideal é você não precisar pedir a senha, mas sim trabalhar com o usuário logado, afinal de contas sai tudo no login/matricula dele (seja bom, seja ruim).
Obviamente que compartilhar computador não tem nem de longe sentido algum, precisa usar ?
Faz logon, faz logoff...

Em empresas com políticas de acesso sérias, o uso do computador de forma compartilhada é totalmente negado, por questões de compliance, e principalmente para proteger os dois lados (o empregador e o empregado).
Reforçe com a empresa o contexto do problema, pegar o usuário logado no Windows você resolve em 5 minutos, rever a política da empresa vai levar bem mais que isso, mas é o certo a se fazer

WebMaster - VBMania

Nao me mande e-mail com duvidas
Para isso e que existe o forum do VBMania !!!

 Tópico anterior Próximo tópico Novo tópico


Tópico encerrado, respostas não sao permitidas
Encerrado por MARCOS em 13/11/2018 11:45:26